Une nouvelle fonctionnalité a été ajoutée au ransomware Sodinokibi qui lui permet de crypter encore plus de fichiers d'une victime, y compris ceux ouverts et verrouillés par un autre processus. Les bases de données, les serveurs de messagerie et certaines autres applications verrouillent les fichiers ouverts pour empêcher d'autres programmes de les modifier. En verrouillant ces fichiers, les programmes empêchent la corruption des données qu'ils contiennent après que deux processus écrivent simultanément dans un fichier. Les applications Ransomware ne peuvent pas non plus chiffrer les fichiers verrouillés sans arrêter au préalable le processus qui les a verrouillés. Pour cette raison, les ransomwares tenteront d'arrêter les serveurs de bases de données, les serveurs de messagerie et d'autres applications capables de verrouiller les fichiers avant de chiffrer un ordinateur. La version 2.2 du ransomware Sodinokibi contient désormais une fonctionnalité qui vous permet d'utiliser l'API Windows Restart Manager pour tuer les processus ou arrêter les services Windows qui maintiennent les fichiers ouverts pendant le cryptage.
Sodinokibi réorganisé
La société de renseignement sur la cybercriminalité Intel471 a fourni plus de détails sur la manière dont le ransomware Sodinokibi (REvil) utilise le gestionnaire de redémarrage de Windows pour chiffrer encore plus de fichiers dans un nouveau rapport, en déclarant : « L'une des nouvelles fonctionnalités les plus intéressantes de la version 2.2 de REvil est l'utilisation du redémarrage du gestionnaire de Windows pour mettre fin. processus et services susceptibles de bloquer les fichiers destinés au cryptage. Si un processus a un descripteur de fichier ouvert pour un fichier spécifique et est ensuite écrit par un autre fichier (dans ce cas, un ransomware), le système d'exploitation Windows l'empêchera. Pour résoudre ce problème, les développeurs de REvil ont mis en œuvre une technique utilisant le gestionnaire de réinitialisation de Windows qui est également utilisée par d'autres ransomwares tels que SamSam et LockerGoga. "L'API Windows Restart Manager a été créée à l'origine par Microsoft pour permettre aux PC Windows d'installer facilement les mises à jour logicielles sans redémarrer au préalable afin de libérer les fichiers que la mise à jour remplacera. Maintenant que Sodinokibi utilise l'API du géant du logiciel, les victimes pourront décrypter vos fichiers plus facilement après avoir payé une rançon, mais la plupart de vos fichiers finiront par être cryptés par le ransomware.